精选 #1 · Web3 与投资

共识机制:去中心化真的可持续吗?

从分布式一致性、激励机制和资源集中三个层面,解释区块链如何生产信任,也追问去中心化为什么不是一次设计就能永久保持的状态。

AI 质量评分 94

阅读这篇
114历史文章 6精选文章

从这些主题开始

几条长期写作线索:安全、Web3、AI,以及工程基础。

全部主题

安全研究主线

这里是我写得最多、也最愿意反复回看的主线:漏洞原理、Web 攻防、内网、靶场和工具链。

83 篇 信息安全

Web3 基础判断

从链上链下、DEX、共识、以太坊到稳定币和 Layer2,先把判断所需的概念放稳。

15 篇 Web3 与投资

AI 与认知推演

记录我对 AI 能力、群智涌现、提示词、安全风险和人机协作方式的持续观察。

6 篇 AI 与认知

工程能力底座

Java、汇编、算法题和源码理解这些旧笔记,仍然是很多安全问题的实现层背景。

5 篇 编程与工程

连续阅读的专栏

有些笔记单篇看不够,串起来才更像一条能走下去的路。

全部专栏

Security

渗透测试学习笔记

从 Kali、信息收集、Web 漏洞、SQL 注入、漏洞利用、后渗透到靶场实践,把旧笔记串成连续的安全学习线。
SpEL表达式注入漏洞分析(以CNVD-2016-04742为例) SpEL类似于JSP中的EL表达式,但是功能要更加丰富。并且SpEL不仅可以用于Web页面之中,也可以用于任何导入了SpEL包的项目之中。由于还没有了解过相关漏洞,借此机会学习了解一下SpEL表达式注入漏洞。 SpringBeansRCE的延申学习(CVE-2010-1622漏洞分析) 由于spring的参数绑定通过内省机制递归获得对应参数的discriptor,最终通过其writeMethod也就是set方法对其赋值,那么我们可以看通过class类可以到达什么对象,通过对其中的属性进行修改,可以达到什么样的利用效果。由于springRCE的漏洞是对CVE-2010-1622的绕过,我们要先了解... 由spring-beans-RCE漏洞引起的对springMVC参数绑定的深入学习 从利用的角度来说,就是 通过spring的参数绑定来修改日志配置,通过日志来写文件 。跟phpmyadmin拿shell挺像的。抛开利用不说,这里我们来看一下漏洞的成因。

值得先读的文章

这些是我更愿意让新读者先看到的文章:有问题意识,也能接到后面的长线阅读。

全部文章
Web3 与投资

Layer2

把以太坊扩容拆成 Layer1、Rollup、跨链桥和用户成本几个问题,说明 Layer2 不只是性能方案,也是区块链走向日常应用的基础设施实验。

质量 93/100 2025/09/22 Web3区块链
Web3 与投资

庞氏骗局与“空气币”

用庞氏骗局的资金逻辑反推空气币的识别方法,从用途、收益承诺、钱包控制权和流动性等维度判断项目风险。

质量 90/100 2025/08/23 Web3区块链